《信息安全技術 網站數(shù)據恢復產品技術要求與測試評價方法-編制說明》

1、任務來源

按照全國信息安全標準化技術委員會2019年信息安全標準項目立項通知

（信安秘字[2019]050號），全國信息安全標準化技術委員會啟動了《信息安全

技術網站數(shù)據恢復產品技術要求與測試評價方法》的修訂工作。

本標準由中認信安（北京）技術服務有限公司牽頭組織修訂，起草單位包括：

中國網絡安全審查技術與認證中心、公安部第三研究所、中國電子科技集團公司

第十五所、上海市信息安全測評認證中心、北京信息安全測評中心、公安部第一

研究所、北京天融信科技有限公司、藍盾信息安全技術股份有限公司、北京神州

綠盟科技有限公司、廈門服云信息科技有限公司等，歸口單位為全國信息安全標

準化技術委員會（SAC/TC260）。

2、編制背景

近幾年我國信息化發(fā)展迅猛，網站建設得到了空前發(fā)展。然而，據不完全統(tǒng)

計，我國98%以上的站點都受到過不同程度的黑客攻擊，攻擊的種類繁多，安全

防范日益成為大家關注的焦點。中國互聯(lián)網絡信息中心（CNNIC）2018年2月份

發(fā)布的第41次《中國互聯(lián)網絡發(fā)展狀況統(tǒng)計報告》中顯示，2017年CNCERT共

監(jiān)測發(fā)現(xiàn)我國境內被篡改的網站數(shù)量達60684個，其中政府網站數(shù)量累計1605

個，較2016年持續(xù)遞增，形式非常嚴峻。篡改一旦發(fā)生，容易在短時間內廣泛

傳播，對企事業(yè)單位的信譽產生惡劣影響，需要有可靠的事前防御和事后恢復手

段。

目前網站數(shù)據恢復技術已經發(fā)展到第三代全新防篡改技術，產品更加側重于

事前防護，并且完全支持事前阻斷、斷線檢測、防未知攻擊威脅，另一方面，產

品自身安全管理的安全性和易用性再進一步提升，產品部署形態(tài)和管理模式更加

普適化。目前現(xiàn)有的標準部分技術內容已經不能完全適用現(xiàn)有客戶和市場產品發(fā)

展需求，因此標準急需對內容進行修訂。

另外隨著《網絡安全法》進一步落地，由國家互聯(lián)網信息辦公室、工信部、

公安部和國家認監(jiān)委等四部委聯(lián)合發(fā)布《網絡關鍵設備和網絡安全專用產品目錄

(第一批)》公告，其中將網站恢復產品列為了網絡安全專用產品，因此為了緊跟

產品和技術發(fā)展現(xiàn)狀，建立一套全新的產品安全技術要求和測試評價方法，來進

一步規(guī)范產品的安全功能、及安全性等評價指標，也積極落實《網絡安全法》奠

定基礎。

3、編制原則

本標準根據當前產業(yè)界網站數(shù)據恢復產品安全最佳實踐，結合新技術發(fā)展和

國內實際應用情況，提出適合于我國國情，具有較強可操作性的安全標準。通過

該標準的修訂及實踐，不僅可以提升產品自身安全能力，也為產品研制、生產、

維護和測評提供指導。

本標準的修訂遵循以下原則：

a）符合性：應符合國家有關政策法規(guī)的要求；

b）兼容性：應與已頒布實施的相關安全標準相協(xié)調；

c）先進性：充分考慮我國網站數(shù)據恢復產品實際安全技術水平和發(fā)展應

用，并保持一定的前瞻性。

d）適用性：應結合產業(yè)對網站數(shù)據恢復產品安全實際應用需求

e）中立性：公正、中立，不與任何利益攸關方發(fā)生關聯(lián)；

4、簡要過程說明

在本標準項目啟動時已經組建了一個申報小組，成員單位有中國網絡安全審

查技術與認證中心、公安部第三研究所、中國電子科技集團公司第十五所、北京

天融信科技有限公司、藍盾信息安全技術股份有限公司。

在2019年2月至2019年3月組織兩次集中討論、以及小范圍溝通，形成修

訂申報材料，包括申報書、建議書和標準草案。

2019年4月參加信安標委2019年第一次會議周提出修訂立項建議，于2019

年8月在信安標委正式立項。

2019年9月中旬標準編制組在北京召開了標準修訂項目啟動會即研討會，

與會專家對標準名稱和標準涉及內容進行研討，并針對2019年4月會議周上的

專家意見和新的意見進行了討論，并根據與會專家意見，形成了標準草案討論稿

V2.0。

2019年9月下旬~10月上旬，標準修訂組針對草案V2.0多次討論，并根據

相關意見形成標準草案討論稿V2.2。

2019年10月12日，標準修訂組參加信安標委WG5組織的專家審查會，收

集專家意見，會后并針對專家意見修改形成新的標準草案V3.0。

2019年10月，在重慶召開的信安標委第二次會議周上，標準編制組就本標

準研制情況在會上做了匯報，經組內成員投票，同意形成征求意見稿。

2019年10月底至11月，編制組就重慶會議周上專家意見，進行深入研究

討論，逐條對意見進行梳理和處理。

5、標準結構

本標準總體上將網站數(shù)據恢復產品技術要求分為安全功能要求、自身安全要

求和安全保障要求三部分，并根據安全功能的強弱和安全保障的高低對安全技術

要求進行了安全等級劃分，即分為基本級和增強級兩個等級，最后針對安全技術

要求提出了相應的測試評價方法。

具體結構如下：

（1）安全技術要求

a)安全功能要求：網站數(shù)據監(jiān)測功能、網站數(shù)據防篡改功能、報警

功能、網站數(shù)據恢復功能、網站數(shù)據備份、網站數(shù)據合法更新、

管理控制功能、審計功能、備份數(shù)據保護。

b)自身安全功能要求：身份標識與鑒別、管理能力、管理審計、管

理方式和程序數(shù)據保護。

c)安全保障要求：開發(fā)、指導性文檔、生命周期支持、測試、脆弱

性評定。

（2）測試評價方法

本標準與GB/T29766-2013《信息安全技術網站數(shù)據恢復產品技術要求與

測試評價方法》相比，主要修訂內容如下：

（1）按照WG5組標準體系的要求，調整標準結構：

a)增加總體描述一節(jié)；

b)將產品安全功能要求分為安全功能要求和自身安全要求；

c)將等級劃分的內容調整到附錄；

（2）對標準主要內容修訂如下：

a)順應產品的技術發(fā)展形勢，側重產品在事前防護，因此增加了網

站數(shù)據防篡改的要求；

b)修改了“可審計事件”、“審計數(shù)據內容”的要求；

c)增加了“審計數(shù)據存儲”、“審計報表”的要求

d)增加了產品自身安全功能要求，如完善了身份鑒別要求、增加了

管理能力要求、增加了管理審計要求、增加了管理方式要求等。

（3）按照新的國標GB/T18336.3-2015的相關內容，修訂了安全保障要求。

主要安全功能變化情況表如下所示：

修訂前修訂后

網站網頁文件監(jiān)測功網站靜態(tài)數(shù)據監(jiān)

能測功能

動態(tài)腳本文件監(jiān)測功網站數(shù)據網站動態(tài)數(shù)據監(jiān)

網站數(shù)據能監(jiān)測功能測功能

監(jiān)測功能網站目錄監(jiān)測功

網站數(shù)據庫檢測功能

能

網站靜態(tài)數(shù)據防

網頁目錄監(jiān)測功能

篡改功能

網站數(shù)據

網站動態(tài)數(shù)據防

實時報警事件防篡改功

篡改功能

報警功能能

網站目錄防篡改

報警方式

功能

靜態(tài)網頁文件自動恢

實時報警事件

復功能

動態(tài)網頁文件自動恢

網站數(shù)報警功能報警方式

復功能

安據自恢

網頁目錄自動恢復功

全復功能報警信息

能安全

功

網站數(shù)據庫手動或自功能網站靜態(tài)數(shù)據恢

能

動恢復功能要求復功能

要

網站數(shù)據網站動態(tài)數(shù)據恢

求網站數(shù)據備份初始化

恢復功能復功能

網站數(shù)據網站目錄恢復功

網站數(shù)據備份功能

備份能

網站數(shù)據備份初

網站數(shù)據備份方式

始化

網站數(shù)據網站數(shù)據備份功

網站數(shù)據合法更新

備份能

網站數(shù)據備份方

監(jiān)控對象管理

式

遠程管理網站數(shù)據合法更新

管理控管理界面友好型監(jiān)控對象管理

制功能與網站發(fā)布系統(tǒng)的兼與網站發(fā)布系統(tǒng)

管理控制

容性的兼容性

功能

策略定制策略定制

策略管理策略管理

權限管理功能審計功能可審計事件

身份鑒身份鑒別審計數(shù)據內容

別鑒別失敗處理審計數(shù)據存儲

可審計事件內容可讀性

審計數(shù)據內容審計記錄查詢

審計數(shù)據存儲審計報表

審計功備份數(shù)據的安全

內容可讀性

能備份數(shù)據存儲

保護備份數(shù)據的安全

審計記錄查詢

傳輸

審計報表身份標識與鑒別

自身

管理信息傳輸安全管理能力

用戶數(shù)安全

備份數(shù)據的安全存儲管理審計

據保護功能

備份數(shù)據的安全傳輸管理方式

要求

程序數(shù)據保護程序數(shù)據保護

6、專利說明

無。

7、與有關的現(xiàn)行法律、法規(guī)和強制性國家標準的關系

本標準符合現(xiàn)有法律法規(guī)的要求。

本標準與